tocdepth

2

Настройка OpenID федерации

Cloud.ru позволяет подключать федерации удостоверений совместимые с OpenID Connect (OIDC).

Создать OpenID федерацию

  1. Перейдите в раздел Администрирование, на вкладку Федерации.

  2. Нажмите Создать федерацию.

  3. Выберите тип протокола — OpenID.

  4. Заполните параметры федерации:

    Параметр

    Описание

    Название

    Краткое отображаемое наименование федерации (слитно). Уникальность имени необязательна.

    Описание

    Пояснительный текст о федерации. Например, указание того, для чего создана федерация.

    Длительность сессии

    Максимальное время жизни SSO сессии. Может быть установлено значение от 30 мин до 7 дней.

    Если пользователь не проявляет активности в течение заданного в параметре времени, сессия завершится, а пользователь должен будет заново пройти аутентификацию.

    Если пользователь активен, время сессии зависит от того, поддерживает ли настроенная федерация механизм refresh-токенов:

    • Если механизм refresh-токенов не поддерживается, то сессия будет завершена через время, указанное в параметре «Длительность сессии».

    • Если механизм refresh-токенов поддерживается, то при истечении access-токена приложение может использовать refresh-токен для получения нового access-токена. Так сессия пользователя может быть активна, пока не истечет время жизни refresh-токена — 7 дней.

    Auth URL

    URL-адрес HTTP-запроса к ресурсу сервера способного аутентифицировать и авторизовать конечного пользователя. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле authorization_endpoint протокола обнаружения (.well-known/openid-configuration).

    Userinfo URL

    Защищенный ресурс, который при предъявлении токена возвращает авторизованному клиенту информацию о текущем пользователе. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле userinfo_endpoint протокола обнаружения (.well-known/openid-configuration).

    Token URL

    Ресурс на сервере авторизации, обеспечивающий выдачу токенов. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле token_endpoint протокола обнаружения (.well-known/openid-configuration).

    Logout URL

    Адрес, на который перенаправляется федеративный пользователь после завершения сессии. Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле end_session_endpoint протокола обнаружения (.well-known/openid-configuration).

    Client ID

    Уникальный идентификатор вашего корпоративного провайдера идентификации.

    Client Secret

    Общий секретный ключ.

    JWKS URI

    Предусмотрен стандартом OpenID Connect (OIDC). Указан в поле jwks_uri протокола обнаружения (.well-known/openid-configuration).

  5. Нажмите Создать.

Добавить федеративных пользователей

  1. В разделе Пользователи откройте вкладку Пользователи федерации.

  2. В правом верхнем углу нажмите Добавить пользователя федерации.

  3. Выберите федерацию, в которую нужно включить пользователя.

  4. Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.

  5. Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли.

  6. Нажмите Добавить.

    Профиль пользователя появится на вкладке Пользователи федерации.

    Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.

  7. Перейдите в раздел Администрирование, на вкладку Федерации.

  8. Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.

Примечание

Прямая ссылка для входа по SSO — https://console.cloud.ru/?iam_idp=%ID_федерации%. ID вашей федерации можно получить у администратора организации.

Обратите внимание, что если по ссылке перейдет сотрудник, у которого нет учетной записи в личном кабинете, учетная запись для него будет создана автоматически. Она отобразится в списке федеративных пользователей в разделе Пользователи. У такого пользователя не будет прав для доступа к проектам, пока их не назначит администратор организации.

Запустили Evolution free tier
для Dev & Test
Получить